Cibersegurança

Uma campanha coordenada de reconhecimento visando a infraestrutura do Citrix NetScaler foi observada entre 28 de janeiro e 2 de fevereiro, utilizando mais de 63 mil endereços IP distintos. Essa atividade, que gerou 111.834 sessões, focou na identificação de painéis de login e na enumeração de versões do produto, indicando um esforço organizado. Aproximadamente 64% do tráfego proveniente de proxies residenciais, que se apresentavam como endereços de ISPs legítimos, dificultou a filtragem baseada em reputação. Os pesquisadores da GreyNoise identificaram dois indicadores claros de intenção maliciosa: um ataque direcionado à interface de autenticação e outro focado em um arquivo específico do Endpoint Analysis (EPA). A atividade sugere um mapeamento de infraestrutura pré-exploração, com interesse em desenvolver exploits específicos para versões vulneráveis do Citrix ADC. As falhas críticas mais recentes que afetam os produtos Citrix incluem CVE-2025-5777 e CVE-2025-5775. Os especialistas recomendam que administradores de sistemas revisem a necessidade de gateways Citrix expostos à internet e monitorem acessos anômalos.

A Step Finance, plataforma de finanças descentralizadas (DeFi) baseada na blockchain Solana, anunciou a perda de aproximadamente US$ 40 milhões em ativos digitais após um ataque cibernético que comprometeu dispositivos de sua equipe executiva. O incidente foi detectado em 31 de janeiro, quando a empresa revelou que várias de suas carteiras de tesouraria foram invadidas por um ator sofisticado utilizando um ‘vetor de ataque bem conhecido’. Embora a empresa tenha conseguido recuperar cerca de US$ 4,7 milhões em ativos, a magnitude da perda é alarmante, especialmente considerando que representa apenas uma fração dos US$ 398 milhões perdidos em ataques de roubo de criptomoedas no mesmo mês. A Step Finance tomou medidas imediatas, notificando as autoridades e suspendendo algumas operações para reforçar a segurança. A empresa também aconselhou os usuários a não interagir com seu token nativo, $STEP, até que a investigação seja concluída. O ataque gerou especulações sobre a possibilidade de um ‘rug pull’ ou um ’trabalho interno’, mas a Step Finance não forneceu detalhes sobre os perpetradores. Este incidente destaca a crescente vulnerabilidade das plataformas DeFi e a necessidade de medidas de segurança robustas no setor.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica, chamada DockerDash, que afeta o assistente de inteligência artificial Ask Gordon, integrado ao Docker Desktop e à interface de linha de comando (CLI) do Docker. Essa falha, corrigida na versão 4.50.0 lançada em novembro de 2025, permite que um invasor execute código malicioso e exfiltre dados sensíveis. O problema surge da forma como o Ask Gordon interpreta metadados não verificados como comandos executáveis, permitindo que um ataque simples em três etapas comprometa o ambiente Docker. O ataque começa com a publicação de uma imagem Docker contendo instruções maliciosas em campos de metadados. Quando o assistente é consultado, ele processa essas instruções sem validação, enviando-as ao MCP Gateway, que as executa com privilégios do Docker do usuário. Além disso, a vulnerabilidade também permite a exfiltração de dados sensíveis do ambiente do usuário. A situação destaca a necessidade de uma abordagem de validação de zero confiança para mitigar esse tipo de ataque, que pode ter impactos significativos em ambientes de nuvem e aplicações de desktop.

Pesquisadores da ESET identificaram uma nova campanha de spyware no Android, que se disfarça como um aplicativo de relacionamento chamado GhostChat. Este malware, que não está disponível na Google Play Store, é distribuído clandestinamente e se apresenta como uma plataforma de chat de relacionamento sem custos. O golpe utiliza perfis falsos de mulheres, que ficam ‘bloqueados’ até que a vítima forneça um código, gerando uma sensação de exclusividade. Durante a interação, o GhostChat opera em segundo plano, roubando documentos, fotos, contatos e informações do dispositivo da vítima. Além disso, o malware utiliza uma técnica chamada ClickFix, que simula falhas para enganar o usuário a interagir e permitir acesso a mais dados. Os pesquisadores alertam que o ataque é sofisticado e utiliza engenharia social, QR Codes e spoofing de autoridades para aumentar sua eficácia. A campanha tem como alvo principal usuários no Paquistão, mas a técnica pode ser replicada em outros contextos, incluindo o Brasil, onde aplicativos de relacionamento são populares.

O Spotify, em colaboração com grandes gravadoras como Universal Music Group, Sony Music Entertainment e Warner Music Group, processou o repositório clandestino Anna’s Archive por violação massiva de direitos autorais. A ação judicial, que exige uma indenização exorbitante de US$ 13 trilhões, surge após o vazamento de 300 TB de músicas, incluindo 86 milhões de faixas do catálogo do Spotify. Este número representa 99,6% das reproduções na plataforma e cerca de 37% do total de 256 milhões de faixas disponíveis. Após o incidente, o Spotify desativou contas de usuários que estavam extraindo dados ilegalmente e moveu uma ação judicial no final de 2025. O juiz Jed S. Rakoff concedeu uma liminar que proíbe o Anna’s Archive de distribuir os arquivos extraídos, enquanto provedores de serviços como a Cloudflare também estão impedidos de hospedar o repositório. O caso destaca a crescente preocupação com a segurança e a proteção de direitos autorais na era digital, especialmente em um cenário onde a pirataria e o vazamento de dados se tornam cada vez mais comuns.

Na terça-feira, promotores franceses realizaram uma operação nas instalações da X em Paris, no âmbito de uma investigação criminal sobre a ferramenta de inteligência artificial Grok, amplamente utilizada para gerar imagens sexualmente explícitas. A investigação, iniciada em janeiro de 2025, foi ampliada após denúncias de que a Grok estaria gerando conteúdo ilegal e que a plataforma X estaria sendo utilizada para compartilhar deepfakes sexuais e conteúdo de negação do Holocausto. A operação foi conduzida pela unidade de cibercrime da Gendarmaria Nacional, com apoio de oficiais da Europol. Além disso, Elon Musk e a CEO da X, Linda Yaccarino, foram convocados para entrevistas voluntárias em abril de 2025, junto a outros funcionários da empresa. A investigação abrange sete delitos, incluindo a posse e distribuição de pornografia infantil e fraudes relacionadas à extração de dados. A Comissão Europeia também iniciou uma investigação para verificar se a X cumpriu as obrigações do Digital Services Act antes de implementar a ferramenta Grok. A X já foi multada em 120 milhões de euros por violações de transparência sob a mesma legislação.

Hackers estão atacando desenvolvedores ao explorar a vulnerabilidade crítica CVE-2025-11953 no servidor Metro do React Native, permitindo a entrega de cargas maliciosas para sistemas Windows e Linux. No Windows, um atacante não autenticado pode executar comandos do sistema operacional por meio de uma requisição POST, enquanto no Linux e macOS, a falha pode levar à execução de executáveis arbitrários com controle limitado de parâmetros. O Metro, que é o empacotador JavaScript padrão para projetos React Native, pode expor endpoints HTTP apenas para desenvolvimento, como o /open-url. A vulnerabilidade foi descoberta pela empresa JFrog e divulgada em novembro de 2025, com a exploração ativa observada em dezembro. Pesquisadores da VulnCheck identificaram um ator de ameaças utilizando a vulnerabilidade, conhecida como Metro4Shell, para entregar cargas úteis codificadas em base-64. As ações realizadas pelas cargas incluem desativar proteções do endpoint e estabelecer conexões TCP com a infraestrutura do atacante. Com cerca de 3.500 servidores Metro expostos online, a situação é preocupante, embora a vulnerabilidade tenha uma baixa pontuação no sistema de avaliação de risco EPSS. Especialistas alertam que as organizações não devem esperar por ações de autoridades como a CISA antes de agir.

A Autoridade de Proteção de Dados do Reino Unido (ICO) iniciou uma investigação formal contra a X e sua subsidiária irlandesa, xAI, após relatos de que o assistente de IA Grok foi utilizado para gerar imagens sexuais não consensuais. A ICO busca determinar se a X Internet Unlimited Company (XIUC) e a X.AI LLC (X.AI) processaram dados pessoais de forma legal e se implementaram salvaguardas adequadas para evitar a criação de imagens prejudiciais. O órgão destacou que a perda de controle sobre dados pessoais pode causar danos imediatos e significativos, especialmente quando crianças estão envolvidas. Além disso, a investigação coincide com ações de autoridades francesas que estão apurando se o Grok gerou material de abuso sexual infantil e conteúdo de negação do Holocausto. A Comissão Europeia também lançou uma investigação para avaliar se a X cumpriu as normas do Digital Services Act antes de implementar o Grok. A ICO pode impor multas de até £17,5 milhões ou 4% do faturamento global da empresa, o que ressalta a gravidade da situação e a necessidade de conformidade com a legislação de proteção de dados.

O artigo de Ido Shlomo, CTO e cofundador da Token Security, destaca a crescente presença de agentes de IA autônomos nas empresas e os riscos associados à sua gestão de identidade. Tradicionalmente, as organizações gerenciavam identidades de humanos e máquinas, mas os agentes de IA não se encaixam perfeitamente em nenhuma dessas categorias. Eles são adaptáveis, operam em alta velocidade e podem realizar ações sem supervisão humana, o que cria lacunas significativas na governança de identidade. A falta de visibilidade sobre esses agentes leva a um crescimento descontrolado de identidades, tornando-as alvos fáceis para atacantes. O artigo sugere que a gestão do ciclo de vida das identidades dos agentes de IA deve ser contínua e em tempo real, garantindo visibilidade, responsabilidade e o princípio do menor privilégio. Além disso, enfatiza a importância de descobrir e monitorar esses agentes para evitar riscos de segurança. A gestão eficaz das identidades dos agentes de IA é apresentada como uma solução para mitigar riscos sem comprometer a inovação nas organizações.

Recentes interrupções em serviços de nuvem, como AWS e Azure, destacam a vulnerabilidade das infraestruturas de identidade que dependem desses provedores. Quando serviços de autenticação e autorização falham, o impacto vai além da simples indisponibilidade; trata-se de um incidente crítico que pode paralisar operações de negócios e afetar a segurança. A arquitetura de identidade moderna, que utiliza componentes como datastores e balanceadores de carga, é suscetível a falhas em qualquer parte da cadeia de dependência. Isso revela um ponto único de falha que muitas organizações só percebem durante uma interrupção. Além disso, a abordagem tradicional de alta disponibilidade, que se concentra em failover regional, pode não ser suficiente, pois falhas em serviços compartilhados podem afetar múltiplas regiões simultaneamente. Para mitigar esses riscos, é essencial projetar sistemas de identidade resilientes, que reduzam a dependência de um único provedor e permitam operações limitadas durante interrupções. A gestão proativa da identidade deve ser uma prioridade para garantir a continuidade dos negócios e a segurança operacional.

Uma falha de segurança crítica, identificada como CVE-2025-11953 (Metro4Shell), está sendo explorada por atacantes em um pacote npm amplamente utilizado, o ‘@react-native-community/cli’. Com uma pontuação CVSS de 9.8, essa vulnerabilidade permite que invasores não autenticados executem comandos arbitrários no sistema operacional subjacente. A exploração foi observada pela primeira vez em 21 de dezembro de 2025, e os detalhes foram documentados pela JFrog em novembro do mesmo ano. Os atacantes têm utilizado um script PowerShell codificado em Base64 para realizar ações maliciosas, como excluir pastas do Microsoft Defender e estabelecer conexões TCP com servidores controlados por eles. A atividade maliciosa foi consistente ao longo de várias semanas, indicando um uso operacional da vulnerabilidade. A falha destaca a importância de proteger a infraestrutura de desenvolvimento, que pode se tornar um alvo de produção se acessível. Apesar da gravidade, a exploração ainda não recebeu ampla atenção pública.

Atualmente, muitas equipes de segurança enfrentam um excesso de ferramentas e informações, resultando em um ambiente de trabalho caótico e ineficiente. O artigo destaca a sobrecarga que os Centros de Operações de Segurança (SOCs) enfrentam, onde promessas de ‘cobertura completa’ e ‘automação impulsionada por IA’ não se traduzem em melhorias reais. A sessão ao vivo proposta, liderada por Kumar Saurabh e Francis Odum, visa esclarecer as decisões críticas que os líderes de segurança devem tomar: o que construir internamente, o que adquirir de fornecedores e o que automatizar. Através de estudos de caso e uma análise comparativa de modelos de SOC, os participantes poderão obter uma visão prática e aplicável para simplificar operações e melhorar resultados. Com orçamentos encolhendo e ameaças crescendo, é essencial que as equipes de segurança repensem suas estratégias e adotem uma abordagem mais inteligente e eficiente para a gestão de riscos.

A Mozilla anunciou uma nova seção de controles nas configurações do navegador Firefox, permitindo que os usuários desativem completamente as funcionalidades de inteligência artificial generativa (GenAI). Segundo Ajit Varma, chefe do Firefox, essa nova funcionalidade oferece um local único para bloquear tanto as características atuais quanto as futuras relacionadas à IA. Os usuários poderão gerenciar individualmente as configurações de IA, como traduções, descrições acessíveis em PDFs, agrupamento de abas aprimorado por IA, prévias de links e um chatbot na barra lateral. A implementação dessas funcionalidades está prevista para a versão 148 do Firefox, que será lançada em 24 de fevereiro de 2026. A Mozilla enfatiza a importância da escolha do usuário, permitindo que aqueles que não desejam utilizar recursos de IA possam desativá-los facilmente. O novo CEO da Mozilla, Anthony Enzor-DeMeo, reforçou o compromisso da empresa em ser uma companhia de software confiável, onde privacidade e uso de dados são claros e compreensíveis. Essa abordagem visa garantir que a IA seja sempre uma opção, e não uma imposição.

O grupo de ameaças APT28, vinculado ao governo russo, está explorando uma nova vulnerabilidade no Microsoft Office, identificada como CVE-2026-21509, com um escore CVSS de 7.8. Essa falha permite que atacantes não autorizados enviem arquivos maliciosos que podem comprometer sistemas. A campanha, chamada Operation Neusploit, foi observada em ataques direcionados a usuários na Ucrânia, Eslováquia e Romênia, logo após a divulgação pública da vulnerabilidade pela Microsoft. Os pesquisadores da Zscaler relataram que os atacantes utilizaram técnicas de engenharia social em múltiplas línguas para enganar as vítimas. A exploração envolve o uso de arquivos RTF maliciosos que instalam dois tipos de droppers: MiniDoor, que rouba e-mails, e PixyNetLoader, que ativa um implante chamado Grunt, associado ao framework de comando e controle COVENANT. A CERT-UA, equipe de resposta a emergências da Ucrânia, confirmou que documentos do Word foram utilizados para atacar mais de 60 endereços de e-mail de autoridades governamentais. A vulnerabilidade representa um risco significativo, especialmente para organizações que utilizam o Microsoft Office em suas operações diárias.

O Match Group, conglomerado responsável por aplicativos de relacionamento como Tinder, OkCupid e Hinge, confirmou um vazamento de dados que comprometeu informações de até 10 milhões de usuários. O ataque foi realizado pelo grupo hacker ShinyHunters, que anunciou o roubo na dark web. O vazamento, que totaliza 1,7 GB de dados, foi possível devido ao comprometimento de uma conta Okta com login único (SSO), que deu acesso a instâncias de marketing da empresa, incluindo contas do Google Drive e Dropbox. Embora o Match Group tenha afirmado que não encontrou evidências de acesso a credenciais financeiras ou informações privadas, os dados de localização e informações de identificação pessoal (PII) foram expostos. A empresa está em processo de contatar os usuários afetados e recomenda a adoção de autenticação em dois fatores e outras soluções de segurança para mitigar riscos futuros. O incidente destaca a vulnerabilidade de sistemas que dependem de aplicativos de terceiros e a importância de medidas de segurança robustas.

O Notepad++, popular editor de texto e código, enfrentou uma grave falha de segurança que permitiu a hackers redirecionar atualizações do aplicativo para distribuir malware a usuários. Segundo Don Ho, um dos desenvolvedores, a vulnerabilidade não estava no código do Notepad++, mas sim na infraestrutura do provedor de serviços que hospeda as atualizações. O ataque, que começou em junho de 2025, foi descoberto apenas em setembro do mesmo ano, e envolveu hackers chineses que conseguiram interceptar o tráfego do atualizador WinGUp, redirecionando-o para domínios maliciosos. Apesar de o aplicativo verificar a autenticidade dos arquivos baixados, os cibercriminosos conseguiram enganar essa verificação, resultando em downloads de arquivos binários não oficiais. A falha foi corrigida na versão 8.8.9 do Notepad++, lançada em agosto de 2025, mas os hackers mantiveram acesso até dezembro do mesmo ano. Este incidente destaca a importância de manter sistemas atualizados e a necessidade de vigilância constante em relação a possíveis vulnerabilidades em provedores de serviços.

A América Latina está enfrentando um aumento alarmante de ataques cibernéticos, tornando-se a região mais atacada do mundo, de acordo com dados da Check Point Research. Em 2025, a média de ataques semanais na região foi de 3.065, um crescimento de 26% em relação ao ano anterior. Essa escalada de incidentes fez com que a América Latina ultrapassasse a África em termos de riscos cibernéticos. Entre os tipos de ataques mais comuns, 76% das organizações afetadas relataram incidentes de extorsão por vazamento de dados, além de tentativas de execução remota de códigos maliciosos e violações de autenticação. Os ataques de ransomware, embora representem apenas 5% dos casos, ainda são uma preocupação significativa. Os países mais afetados incluem Paraguai, Peru, Brasil, México e Argentina, com a Jamaica também sendo mencionada devido à sua proximidade geográfica. Especialistas atribuem esse aumento à forte presença digital e às conexões comerciais internacionais na região, que atraem cibercriminosos em busca de vantagens financeiras.

As Escolas Públicas de Portland, no Maine, confirmaram um vazamento de dados que afetou 12.128 pessoas, revelando informações pessoais sensíveis, como números de Seguro Social, dados financeiros, informações médicas e de seguro de saúde, além de documentos de identificação. O grupo cibercriminoso RansomHub assumiu a responsabilidade pelo ataque, que ocorreu em fevereiro de 2025, e alegou ter roubado 110 GB de dados da rede da escola. Embora a PPS tenha notificado os afetados, não confirmou se pagou um resgate ou como o ataque foi realizado. A investigação revelou que o acesso não autorizado à rede foi resultado de um ataque cibernético, e a PPS está oferecendo monitoramento de crédito gratuito e seguro contra roubo de identidade aos afetados. O RansomHub, ativo desde 2024, é conhecido por atacar instituições educacionais, tendo realizado 767 ataques de ransomware até março de 2025, afetando mais de 3,9 milhões de registros pessoais em escolas e universidades nos EUA.

A Microsoft confirmou que um problema conhecido que impede alguns dispositivos com Windows 11 de desligar também afeta sistemas com Windows 10 que possuem o Modo Seguro Virtual (VSM) habilitado. O VSM é um recurso de segurança do Windows que cria uma região de memória isolada, protegendo credenciais sensíveis e chaves de criptografia contra malware. O bug, que afeta dispositivos com a atualização cumulativa KB5073455 e o recurso Secure Launch ativado, foi identificado em janeiro e levou a Microsoft a lançar atualizações de emergência. A situação se estendeu para o Windows 10, onde usuários com VSM habilitado após as atualizações KB5078131 e KB5073724 também enfrentam problemas de desligamento. A Microsoft recomenda que os usuários afetados utilizem o comando “shutdown /s /t 0” como uma solução temporária até que uma correção oficial seja disponibilizada. A empresa planeja lançar uma solução em uma atualização futura e já corrigiu outros problemas relacionados a componentes do Windows que foram erroneamente sinalizados como maliciosos por aplicativos de segurança. A situação destaca a importância de monitorar atualizações e aplicar correções rapidamente para garantir a segurança e a funcionalidade dos sistemas operacionais.

Recentemente, mais de 230 pacotes maliciosos foram publicados no registro oficial do assistente de IA OpenClaw, anteriormente conhecido como Moltbot e ClawdBot. Esses pacotes, chamados de ‘skills’, se disfarçam como ferramentas legítimas, mas têm como objetivo injetar malware que rouba dados sensíveis, como chaves de API, credenciais de SSH e senhas de navegadores. O projeto, que é um assistente de IA de código aberto projetado para rodar localmente, apresenta riscos de segurança se não for configurado corretamente. Pesquisadores de segurança alertaram que muitas interfaces administrativas do OpenClaw estão mal configuradas e expostas na web pública. A infecção ocorre quando os usuários seguem instruções enganosas contidas na documentação dos pacotes, que incluem um mecanismo de entrega de malware disfarçado de uma ferramenta chamada ‘AuthTool’. O malware, identificado como uma variante do NovaStealer, é capaz de contornar proteções do sistema e roubar informações críticas. A situação é agravada por uma campanha em larga escala que visa usuários do OpenClaw, com a necessidade urgente de os usuários verificarem a segurança dos pacotes antes da instalação.

O Centro de Resposta a Emergências de Computador da Ucrânia (CERT-UA) alertou que hackers russos estão explorando a vulnerabilidade CVE-2026-21509, recentemente corrigida pela Microsoft, em várias versões do Microsoft Office. Em 26 de janeiro, a Microsoft lançou uma atualização de segurança de emergência, identificando a falha como um zero-day ativamente explorado. Apenas três dias após o alerta, o CERT-UA detectou a distribuição de arquivos DOC maliciosos relacionados a consultas do COREPER da UE, além de e-mails falsificados que se passavam pelo Centro Hidrometeorológico da Ucrânia, enviados a mais de 60 endereços governamentais. A análise da metadata dos documentos revelou que foram criados um dia após a atualização de segurança. O CERT-UA atribuiu esses ataques ao grupo APT28, associado à inteligência militar russa (GRU). A abertura do documento malicioso inicia uma cadeia de download que instala malware via COM hijacking, utilizando um arquivo DLL malicioso e shellcode oculto em uma imagem. O malware COVENANT, utilizado nos ataques, se conecta ao serviço de armazenamento em nuvem Filen para operações de comando e controle. As organizações são aconselhadas a aplicar a atualização de segurança mais recente e a monitorar conexões associadas ao Filen para melhorar a defesa contra essa ameaça.

Um novo ataque de malware chamado GlassWorm, que utiliza extensões comprometidas do OpenVSX, está focado em roubar senhas, dados de carteiras de criptomoedas e credenciais de desenvolvedores em sistemas macOS. O ataque começou em outubro de 2023, quando um desenvolvedor legítimo teve sua conta acessada e atualizações maliciosas foram enviadas para quatro extensões, que já haviam sido baixadas 22.000 vezes. O malware se esconde usando caracteres Unicode invisíveis e permite acesso remoto via VNC e proxy SOCKS. A campanha, que afeta exclusivamente sistemas macOS, coleta dados de navegadores, aplicativos de carteira e informações do sistema, enviando tudo para a infraestrutura do atacante. A equipe de segurança da Socket notificou a Fundação Eclipse sobre as publicações não autorizadas, que foram removidas, exceto uma extensão que foi completamente eliminada. Embora as versões atuais das extensões estejam limpas, desenvolvedores que baixaram as versões maliciosas devem realizar uma limpeza completa do sistema e trocar todas as suas senhas.

Uma vulnerabilidade de alta severidade foi identificada no OpenClaw, um assistente pessoal de inteligência artificial de código aberto, que pode permitir a execução remota de código (RCE) através de um link malicioso. A falha, registrada como CVE-2026-25253 e com uma pontuação CVSS de 8.8, foi corrigida na versão 2026.1.29, lançada em 30 de janeiro de 2026. O problema reside na falta de validação do parâmetro ‘gatewayUrl’ na interface de controle, que permite que um link malicioso envie um token de autenticação para um servidor controlado por um atacante. Isso possibilita que o invasor conecte-se ao gateway local da vítima, altere configurações e execute comandos com privilégios elevados. O ataque pode ser realizado com um único clique, tornando-o extremamente perigoso. A vulnerabilidade afeta qualquer implantação do OpenClaw onde o usuário tenha se autenticado na interface de controle, permitindo acesso ao API do gateway e a execução de código arbitrário. O impacto é significativo, pois mesmo configurações que limitam o acesso a localhost podem ser contornadas, devido à maneira como o navegador da vítima inicia a conexão. A rápida popularidade do OpenClaw, com mais de 149 mil estrelas no GitHub, aumenta a urgência para que as organizações que utilizam essa ferramenta implementem a atualização imediatamente.

Uma auditoria de segurança realizada pela Koi Security identificou 341 habilidades maliciosas em um total de 2.857 no ClawHub, um marketplace para usuários do assistente de inteligência artificial OpenClaw. A análise, que contou com a ajuda de um bot do OpenClaw, revelou que 335 dessas habilidades utilizam pré-requisitos falsos para instalar um malware chamado Atomic Stealer (AMOS), que rouba dados sensíveis de sistemas macOS e Windows. Os usuários são induzidos a baixar arquivos ou scripts que, uma vez executados, permitem que os atacantes capturem chaves de API, credenciais e outras informações confidenciais. As habilidades maliciosas se disfarçam como ferramentas de criptomoeda, utilitários do YouTube e atualizadores automáticos, entre outros. A Koi Security também observou que as habilidades compartilham a mesma infraestrutura de comando e controle, o que indica uma campanha coordenada. Em resposta, o criador do OpenClaw implementou uma nova funcionalidade de denúncia para que os usuários possam sinalizar habilidades suspeitas. Este incidente destaca os riscos associados a ecossistemas de código aberto, que continuam a ser explorados por atores maliciosos, especialmente em um contexto onde a popularidade do OpenClaw está crescendo rapidamente.

Um grupo de hackers vinculado à China, conhecido como Lotus Blossom, foi associado com confiança média ao recente comprometimento da infraestrutura que hospeda o Notepad++. A invasão permitiu que o grupo, patrocinado pelo estado, entregasse um backdoor inédito, codinome Chrysalis, aos usuários do editor de código aberto. Segundo a Rapid7, a falha ocorreu devido a um comprometimento no nível do provedor de hospedagem, que permitiu que os atacantes sequestrassem o tráfego de atualização a partir de junho de 2025, redirecionando solicitações de certos usuários para servidores maliciosos. A vulnerabilidade foi corrigida em dezembro de 2025 com o lançamento da versão 8.8.9 do Notepad++. A análise da Rapid7 não encontrou evidências de que o mecanismo de atualização foi explorado para distribuir malware, mas um processo suspeito foi identificado, que baixou um instalador malicioso. O Chrysalis é um implante sofisticado que coleta informações do sistema e se comunica com um servidor externo para receber comandos adicionais. O grupo Lotus Blossom demonstrou uma evolução em suas técnicas, utilizando ferramentas personalizadas e frameworks conhecidos como Metasploit e Cobalt Strike, o que indica uma adaptação contínua para evitar detecções.

Um novo alerta de cibersegurança destaca os riscos associados ao uso de softwares piratas e add-ons para jogos, especialmente entre crianças e adolescentes. O jogo Roblox, popular entre esse público, se tornou um alvo atrativo para ataques de malware, como infostealers. Esses malwares são frequentemente disseminados por meio de mods que prometem melhorar o desempenho do jogo, mas que, na verdade, podem roubar informações sensíveis do computador do usuário. Pesquisas indicam que mais de 40% das invasões cibernéticas são realizadas através de arquivos relacionados a jogos, sendo que muitos jovens desabilitam antivírus para instalar esses mods. O artigo enfatiza a importância da educação digital, alertando pais e responsáveis sobre os perigos de confiar em aplicativos de terceiros e a necessidade de manter medidas de segurança, como antivírus ativos. O uso de plataformas legítimas, como NexusMod, também pode apresentar riscos, pois mods não confiáveis podem ser facilmente ignorados pelos usuários. A coleta de dados pessoais, como senhas e credenciais, pode levar a golpes de engenharia social e ameaças financeiras significativas.

Pesquisadores da MacKeeper identificaram uma nova campanha de cibercriminosos que visa usuários de Mac, utilizando anúncios maliciosos no Google. Quando os usuários buscam por ’limpeza de Mac’, eles podem ser direcionados a uma página falsa que imita o site de suporte da Apple. Ao clicar no link, a vítima é induzida a executar um comando malicioso no Terminal do macOS, ofuscado em Base64. Esse comando instala um script remoto que permite o controle total do sistema pelos hackers. Em vez de realizar uma limpeza, o malware rouba dados sensíveis, extrai chaves SSH e até minera criptomoedas. Os anúncios maliciosos são veiculados por contas verificadas do Google, que parecem ter sido comprometidas. Essa situação representa um risco significativo para a segurança dos usuários de macOS, especialmente considerando a popularidade dos dispositivos Apple no Brasil.

Uma nova campanha de phishing está atingindo o Brasil, com foco no Microsoft Teams. De acordo com uma pesquisa da Check Point Software, o país lidera a América Latina em casos de convites falsos enviados pela plataforma, com mais de 6 mil usuários afetados. Os criminosos enviam mensagens que parecem legítimas, alertando sobre faturamentos e assinaturas, e induzem as vítimas a contatar um suposto serviço de suporte. A técnica utilizada envolve a substituição de caracteres para disfarçar o endereço de origem, que parece ser da Microsoft, aumentando a confiança das vítimas. Além disso, a campanha utiliza engenharia social e vishing, onde os criminosos tentam desestabilizar as vítimas por meio de ligações. Os setores mais impactados incluem manufatura, engenharia e construção, seguidos por tecnologia, educação e serviços financeiros. A pesquisa destaca que o Brasil representa 44% dos casos na América Latina, o que evidencia a necessidade de atenção redobrada por parte das empresas e profissionais de segurança da informação.

Recentemente, mais de 200.000 servidores MongoDB foram identificados como mal configurados, com cerca de 3.000 deles expostos sem senhas. Esses servidores estão sendo alvo de ataques de extorsão, onde hackers apagaram dados e deixaram notas de resgate exigindo pagamentos em bitcoin. A pesquisa da Flare revelou que aproximadamente metade dos servidores expostos contém informações operacionais sensíveis. Além disso, muitos desses servidores estão rodando versões desatualizadas do MongoDB, que são vulneráveis a falhas conhecidas e desconhecidas, aumentando o risco de acesso persistente e negação de serviço (DoS). Os administradores de sistemas são aconselhados a verificar suas configurações e garantir que suas instâncias não estejam expostas à internet sem as devidas proteções, como senhas fortes e regras de firewall rigorosas. O cenário é alarmante, pois a maioria dos servidores vulneráveis pode ser facilmente acessada, e a falta de segurança pode resultar em perdas significativas de dados e financeiros.

A Microsoft resolveu um problema que fazia com que a opção de login por senha desaparecesse da tela de bloqueio do Windows 11 após a instalação de atualizações desde agosto de 2025. O ícone da senha só aparece se houver múltiplas opções de login disponíveis, como PIN, chave de segurança ou impressão digital. No entanto, se o usuário utilizar apenas a senha, o ícone pode não ser exibido, pois o campo de senha é mostrado por padrão. A empresa reconheceu essa falha em novembro de 2025 e, apesar de os usuários afetados ainda conseguirem fazer login, a ausência do ícone dificultava o acesso. A solução foi disponibilizada na atualização cumulativa opcional KB5074105, lançada em 29 de janeiro de 2025, que também incluiu 32 correções para problemas de inicialização, login e ativação. Além disso, a atualização corrigiu falhas que causavam erros de inicialização e travamentos no Explorer.exe durante o primeiro login. A Microsoft já havia abordado outras questões relacionadas a atualizações anteriores, como interrupções na reprodução de vídeos protegidos por DRM e problemas de instalação de aplicativos para usuários não administradores. Essa atualização é crucial para garantir a segurança e a funcionalidade do sistema operacional.

O serviço de notificação de vazamento de dados Have I Been Pwned revelou que um incidente de segurança na rede de restaurantes Panera Bread comprometeu 5,1 milhões de contas, em vez dos 14 milhões inicialmente reportados. O ataque foi atribuído ao grupo de extorsão ShinyHunters, que alegou ter roubado uma variedade de informações pessoais identificáveis (PII) e dados de contato de usuários. O grupo vazou um arquivo de quase 760 MB na dark web, contendo dados de contas da Panera Bread. A ShinyHunters afirmou que o acesso aos sistemas da empresa foi obtido por meio de um código de autenticação de único sinal (SSO) da Microsoft Entra, como parte de uma campanha de vishing que visava contas SSO em várias organizações de destaque. Embora a Panera Bread tenha confirmado o vazamento e notificado as autoridades, ainda não emitiu uma declaração oficial sobre o incidente. Além disso, o grupo ShinyHunters também comprometeu outras empresas, como Match Group e SoundCloud, aumentando as preocupações sobre a segurança de dados em plataformas amplamente utilizadas. O incidente destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger informações sensíveis.

O Notepad++, um editor de texto amplamente utilizado, sofreu um ataque cibernético que comprometeu seu tráfego de atualizações por quase seis meses. De acordo com o desenvolvedor, o ataque, que começou em junho de 2025, foi realizado por atores de ameaças patrocinados pelo Estado Chinês, que interceptaram e redirecionaram seletivamente solicitações de atualização para servidores maliciosos. Os atacantes exploraram uma vulnerabilidade nas verificações de atualização do Notepad++, permitindo que manifestos de atualização adulterados fossem servidos a usuários específicos. Após a detecção da violação em dezembro de 2025, o Notepad++ migrou para um novo provedor de hospedagem com segurança reforçada e implementou melhorias significativas, incluindo a verificação de certificados e assinaturas de instaladores. Os usuários são aconselhados a alterar credenciais e atualizar suas instalações para proteger seus sistemas. A situação destaca a importância de manter práticas de segurança robustas, especialmente em softwares amplamente utilizados como o Notepad++.

Os Programas de Investimento de Alto Rendimento (HYIPs) fraudulentos estão crescendo globalmente, oferecendo lucros ‘garantidos’ que nenhum investimento legítimo pode sustentar. Esses golpes atraem vítimas com promessas de retornos rápidos e elevados, como ‘40% de retorno em 72 horas’. No entanto, a maioria dos HYIPs opera como esquemas de Ponzi, onde os primeiros investidores recebem pagamentos iniciais para criar a ilusão de lucro, enquanto os depósitos subsequentes resultam em saques atrasados ou retidos. Em um estudo recente, foram identificados mais de 4.200 sites promovendo esses esquemas fraudulentos, com 485 incidentes registrados apenas em dezembro de 2025, evidenciando a escalabilidade e a persistência dessas fraudes. Os operadores de HYIPs utilizam redes sociais e anúncios pagos para disseminar seus golpes, além de oferecer programas de referência que incentivam as vítimas a recrutar novos investidores. O ciclo típico de um HYIP envolve a criação de plataformas falsas, promoção em redes sociais, construção de confiança com resultados fabricados e, por fim, o bloqueio de saques e o desaparecimento dos operadores. A análise destaca a necessidade de vigilância e educação sobre esses riscos, especialmente em um cenário onde a regulamentação e a proteção ao consumidor são cruciais.

As organizações de médio porte enfrentam um desafio constante em cibersegurança, equilibrando a necessidade de medidas proativas e preventivas com orçamentos limitados e equipes de TI enxutas. Muitas vezes, essas empresas dependem de um conjunto restrito de ferramentas de segurança, como proteção de endpoints e firewalls de rede, que operam de forma isolada, dificultando a extração de seu valor total. A Detecção e Resposta de Endpoints (EDR) é um exemplo de ferramenta que, embora presente em muitas plataformas, é subutilizada devido à falta de tempo e expertise das equipes. Uma abordagem mais sustentável envolve integrar prevenção, proteção, detecção e resposta ao longo do ciclo de vida da ameaça, utilizando plataformas de segurança que oferecem visibilidade abrangente e controles proativos. Soluções como o Bitdefender GravityZone permitem a centralização da gestão de segurança, enquanto serviços de Detecção e Resposta Gerenciada (MDR) oferecem monitoramento contínuo e resposta a incidentes, aliviando a carga operacional das equipes internas. A chave para melhorar a cibersegurança nas empresas de médio porte não está em adicionar mais ferramentas, mas em utilizar as existentes de forma mais eficaz.

O cenário da cibersegurança continua a evoluir com novos ataques e defesas. Recentemente, o Google desmantelou a rede de proxy residencial IPIDEA, que utilizava dispositivos de usuários como parte de cadeias de ataques cibernéticos. Essa rede permitia que criminosos ocultassem seu tráfego malicioso e expunha os dispositivos dos usuários a novos ataques. A ação legal do Google resultou na redução do número de dispositivos disponíveis na rede em milhões. Além disso, a Microsoft lançou patches para uma vulnerabilidade crítica em seu Office, classificada como CVE-2026-21509, que permitia a bypass de recursos de segurança. A Ivanti também corrigiu falhas em seu Endpoint Manager Mobile, que permitiam execução remota de código não autenticado. Em outro incidente, a Polônia atribuiu ataques cibernéticos a uma rede ligada ao serviço de segurança da Rússia, afetando usinas de energia. Por fim, uma nova campanha de cibercriminosos está explorando endpoints de IA expostos, visando roubar recursos e dados. Esses eventos destacam a necessidade de vigilância constante e atualização de sistemas de segurança.

A Microsoft revelou um plano em três fases para descontinuar o uso do New Technology LAN Manager (NTLM), uma tecnologia de autenticação considerada obsoleta e vulnerável a ataques cibernéticos. O NTLM foi oficialmente descontinuado em junho de 2024 e não recebe mais atualizações, devido a sua suscetibilidade a ataques como replay e man-in-the-middle, conforme explicado por Mariam Gewida, Gerente de Programa Técnico II da Microsoft. Apesar de sua descontinuação, o NTLM ainda é amplamente utilizado em ambientes corporativos, muitas vezes devido a dependências legadas e limitações de rede, o que expõe as organizações a riscos de segurança. Para mitigar esses problemas, a Microsoft implementou uma estratégia que inclui auditorias aprimoradas do NTLM, a introdução de recursos como IAKerb e um Centro de Distribuição de Chaves local, e, finalmente, a desativação do NTLM por padrão nas próximas versões do Windows Server. Essa transição é vista como um passo importante em direção a um futuro sem senhas e mais resistente a phishing, exigindo que as organizações realizem auditorias e migrações para o Kerberos. A mudança visa garantir que o Windows opere em um estado seguro por padrão, priorizando alternativas de autenticação mais modernas e seguras.

O jogo multiplayer NationStates confirmou um vazamento de dados após um incidente de segurança que levou o site a ser retirado do ar para investigação. Um jogador, que havia reportado uma vulnerabilidade crítica no código do aplicativo, ultrapassou os limites autorizados e obteve execução remota de código (RCE) no servidor de produção, copiando dados de usuários. O ataque explorou uma falha em uma nova funcionalidade chamada ‘Dispatch Search’, que permitiu ao atacante combinar a falta de sanitização de entradas com um bug de dupla análise. O vazamento expôs endereços de e-mail, hashes de senhas armazenadas em MD5, endereços IP e strings UserAgent de navegadores. Embora o atacante tenha afirmado que os dados foram deletados, a equipe do jogo não pode verificar essa informação e considera os dados comprometidos. O site deve voltar a funcionar em dois a cinco dias, enquanto a equipe realiza auditorias de segurança e reestrutura o servidor. O incidente foi reportado às autoridades competentes e destaca a importância de práticas robustas de segurança cibernética, especialmente em plataformas que lidam com dados de usuários.

A infraestrutura de atualização do eScan, um antivírus da MicroWorld Technologies, foi comprometida por atacantes desconhecidos, resultando na distribuição de malware em sistemas empresariais e de consumidores em todo o mundo. O ataque ocorreu em 20 de janeiro de 2026, quando uma atualização maliciosa foi enviada a clientes durante um intervalo de duas horas. A empresa isolou os servidores afetados e lançou um patch para reverter as alterações. O malware, identificado como ‘Reload.exe’, interfere na funcionalidade do eScan, impedindo a detecção de componentes maliciosos e bloqueando atualizações remotas. O arquivo malicioso modifica o arquivo HOSTS e utiliza técnicas para contornar a interface de varredura do Windows, permitindo a execução de scripts PowerShell que podem instalar mais malware. A análise da Kaspersky revelou que centenas de máquinas, principalmente na Índia e em países vizinhos, foram afetadas. Este incidente destaca a vulnerabilidade das soluções de segurança e a necessidade de vigilância constante em relação a ataques à cadeia de suprimentos.

O desenvolvedor do Notepad++, Don Ho, revelou que um ataque patrocinado por um Estado comprometeu o mecanismo de atualização do software, redirecionando o tráfego de atualizações para servidores maliciosos. A falha ocorreu em nível de infraestrutura, no provedor de hospedagem, e não por vulnerabilidades no código do Notepad++. O problema foi identificado após a versão 8.8.9 do software, que já havia corrigido um redirecionamento ocasional de tráfego para domínios maliciosos, resultando no download de executáveis comprometidos. Acredita-se que o ataque tenha sido altamente direcionado, afetando apenas usuários específicos, e começou em junho de 2025, antes de ser descoberto em janeiro de 2026. Pesquisadores de segurança independentes identificaram que atores de ameaças na China estavam explorando essa falha para enganar alvos e instalar malware. Em resposta, o site do Notepad++ foi migrado para um novo provedor de hospedagem, após o antigo ter sido comprometido até setembro de 2025, com credenciais mantidas até dezembro do mesmo ano.

Pesquisadores de cibersegurança relataram um ataque à cadeia de suprimentos que afetou o Open VSX Registry, onde atores maliciosos não identificados comprometeram recursos de um desenvolvedor legítimo para distribuir atualizações maliciosas. Em 30 de janeiro de 2026, quatro extensões do Open VSX, publicadas pelo autor oorzc, foram substituídas por versões maliciosas que incorporavam o carregador de malware GlassWorm. Essas extensões, que antes eram consideradas utilitários legítimos e acumulavam mais de 22.000 downloads, agora estão associadas a um malware que visa roubar credenciais do macOS e dados de carteiras de criptomoedas. O ataque envolveu a violação das credenciais de publicação do desenvolvedor, possivelmente através de um token vazado ou acesso não autorizado. As versões maliciosas foram removidas do Open VSX, mas o impacto potencial é significativo, especialmente para ambientes corporativos, pois expõe informações sensíveis de desenvolvedores e pode permitir movimentos laterais em redes corporativas. O malware utiliza técnicas sofisticadas para evitar detecção e é ativado apenas em máquinas que não estão localizadas na Rússia, uma estratégia observada em ataques anteriores relacionados a grupos de ameaças de língua russa.

Um ator de ameaças está atacando instâncias expostas do MongoDB em uma série de extorsões automatizadas, exigindo resgates baixos para restaurar os dados. O foco do atacante são bancos de dados inseguros, resultantes de configurações inadequadas que permitem acesso sem restrições. Até o momento, cerca de 1.400 servidores expostos foram comprometidos, com notas de resgate solicitando aproximadamente $500 em Bitcoin. Pesquisadores da empresa de cibersegurança Flare identificaram mais de 208.500 servidores MongoDB publicamente expostos, dos quais 3.100 podiam ser acessados sem autenticação. Quase metade (45,6%) desses servidores já havia sido comprometida, com dados apagados e notas de resgate deixadas. A análise das notas revelou que a maioria exigia um pagamento de 0.005 BTC em até 48 horas, sem garantias de que os atacantes realmente possuíam os dados ou forneceriam uma chave de descriptografia funcional. Flare recomenda que administradores do MongoDB evitem expor instâncias publicamente, utilizem autenticação forte e atualizem para as versões mais recentes do software. A situação é preocupante, pois muitos servidores expostos ainda estão vulneráveis a falhas conhecidas, o que pode levar a ataques adicionais.

O ‘Golpe da Mão Fantasma’ é um ataque cibernético que utiliza trojans de acesso remoto (RAT) para controlar dispositivos móveis à distância. Os hackers exploram vulnerabilidades no sistema operacional e na interação do usuário, frequentemente utilizando táticas de phishing e engenharia social para induzir a instalação de malwares. Esses RATs não danificam arquivos, mas criam uma backdoor que permite ao invasor visualizar a tela do dispositivo, simular toques e interceptar mensagens SMS, comprometendo a segurança financeira da vítima. Um método comum de infecção é o phishing, onde mensagens enganosas levam o usuário a clicar em links maliciosos. Para se proteger, é crucial realizar auditorias de acessibilidade nos dispositivos, desativar permissões suspeitas e evitar a instalação de aplicativos de fontes desconhecidas. Caso o celular comece a agir de forma estranha, recomenda-se desconectá-lo da internet e contatar o banco imediatamente. Embora iPhones tenham medidas de segurança mais rigorosas, ainda estão suscetíveis a esse tipo de golpe. A melhor defesa continua sendo a cautela e o ceticismo em relação a ofertas e mensagens recebidas.

A OpenAI confirmou a aposentadoria do modelo GPT-4o, considerado o mais popular entre os usuários, junto com outros modelos como GPT-5 Instant e GPT-5 Thinking. A decisão foi anunciada em um documento de suporte, onde a empresa explicou que a transição para o GPT-5.2, que atende às expectativas, motivou essa mudança. A aposentadoria está programada para 13 de fevereiro de 2026. O GPT-4o se destacou por sua abordagem mais pessoal e calorosa, o que levou a OpenAI a reintroduzi-lo após feedback negativo de usuários. Apesar de melhorias nas versões mais recentes, a preferência dos usuários pelo estilo conversacional do GPT-4o foi um fator importante na sua popularidade. Atualmente, apenas 0,1% dos usuários ainda optam pelo GPT-4o diariamente. A OpenAI também lançou a funcionalidade de Personalidade, que visa personalizar a experiência do usuário, alinhando-se ao estilo do GPT-4o. A empresa continua a trabalhar em melhorias de personalização e na integração de novas salvaguardas.

Nos últimos meses, uma campanha de phishing em larga escala tem atacado usuários de serviços de armazenamento em nuvem em todo o mundo, enviando e-mails fraudulentos que alertam sobre supostos problemas de pagamento que podem resultar no bloqueio ou exclusão de fotos e arquivos. Os e-mails, que se apresentam como notificações legítimas, criam um senso de urgência ao afirmar que a renovação da assinatura falhou ou que o método de pagamento expirou. Os remetentes utilizam uma variedade de domínios, muitos dos quais parecem ser gerados aleatoriamente, e os assuntos dos e-mails são projetados para incitar medo, como “Ação Imediata Necessária” e “Sua Conta Foi Bloqueada”. Ao clicar nos links contidos nos e-mails, os usuários são direcionados a páginas de phishing que imitam portais de serviços de nuvem, onde são induzidos a fornecer informações pessoais e financeiras. É crucial que os usuários reconheçam que esses e-mails não são comunicações legítimas e que devem ser excluídos sem clicar em nenhum link. Para verificar questões relacionadas a armazenamento em nuvem, recomenda-se acessar diretamente o site oficial do serviço em questão.

Um júri federal dos EUA condenou Linwei Ding, ex-engenheiro de software do Google, por roubar dados de supercomputadores de IA da empresa e compartilhá-los secretamente com empresas de tecnologia da China. Ding foi indiciado em março de 2024 após mentir e não cooperar com a investigação interna do Google, resultando em sua prisão na Califórnia. Entre maio de 2022 e abril de 2023, ele roubou mais de 2.000 páginas de materiais confidenciais relacionados à IA, que foram armazenados em sua conta pessoal do Google Cloud. Os documentos continham informações cruciais sobre a infraestrutura de supercomputação da Google, tecnologias proprietárias de TPU e GPU, software de orquestração para cargas de trabalho de IA em larga escala e tecnologia de rede SmartNIC. Além de sua função no Google, Ding tinha vínculos secretos com duas empresas de tecnologia baseadas na China e chegou a negociar um cargo de CTO em uma delas. Ele fundou sua própria empresa de IA na China e buscou ajudar o governo chinês a desenvolver infraestrutura de computação em nível internacional. Após um julgamento de 11 dias, Ding foi condenado por espionagem econômica e roubo de segredos comerciais, com penas que podem chegar a 15 anos de prisão. A sentença ainda não foi anunciada.

A Mandiant alertou sobre uma onda crescente de ataques de roubo de dados SaaS, orquestrados pelo grupo ShinyHunters, que estão sendo impulsionados por ataques de phishing por voz (vishing). Os criminosos se passam por funcionários de TI e helpdesk, contatando diretamente os colaboradores para alegar que as configurações de autenticação multifator (MFA) precisam ser atualizadas. Durante a ligação, as vítimas são direcionadas a sites de phishing que imitam os portais de login de suas empresas, onde suas credenciais de SSO e códigos MFA são capturados. Os atacantes, enquanto ainda estão em contato com a vítima, conseguem autenticar-se em tempo real, ativando dispositivos próprios para manter o acesso. Uma vez dentro, eles podem acessar uma variedade de aplicativos SaaS, como Salesforce, Microsoft 365 e Google Drive, utilizando um único conjunto de credenciais comprometidas. A Mandiant identificou diferentes grupos de ameaças, como UNC6661 e UNC6671, que utilizam técnicas semelhantes, mas com variações nas táticas de extorsão. A empresa recomenda que as organizações adotem medidas de proteção e monitoramento para detectar comportamentos suspeitos relacionados a esses ataques.

Um novo ataque cibernético, denominado RedKitten, foi identificado como uma campanha de ciberespionagem atribuída a um ator de ameaça que fala farsi e está alinhado aos interesses do estado iraniano. O ataque visa organizações não governamentais e indivíduos que documentam abusos de direitos humanos no Irã, especialmente em meio a protestos contra a inflação e a desvalorização da moeda. O malware utilizado neste ataque se aproveita de arquivos do Microsoft Excel com macros maliciosas, que, ao serem ativadas, instalam um backdoor chamado SloppyMIO. Este backdoor utiliza GitHub e Google Drive para obter suas configurações e módulos, além de se comunicar via Telegram. A análise sugere que o código VBA malicioso pode ter sido gerado por modelos de linguagem de inteligência artificial, o que representa uma nova tendência nas táticas de ataque. A campanha também explora a vulnerabilidade emocional das vítimas, que buscam informações sobre pessoas desaparecidas, utilizando dados falsificados para enganar os alvos. Este incidente destaca a crescente complexidade das ameaças cibernéticas, especialmente com a utilização de ferramentas de IA, dificultando a identificação de atores maliciosos.

Em 29 de dezembro de 2025, o CERT Polska, equipe de resposta a emergências cibernéticas da Polônia, revelou que mais de 30 usinas de energia renovável, uma empresa do setor de manufatura e uma grande planta de cogeração foram alvo de ataques cibernéticos coordenados. Os ataques foram atribuídos a um grupo de ameaças conhecido como Static Tundra, supostamente vinculado ao Serviço Federal de Segurança da Rússia (FSB). Embora as usinas de energia tenham enfrentado interrupções na comunicação com os operadores de distribuição, a produção de eletricidade não foi afetada. Os atacantes conseguiram acessar redes internas, danificando firmware e lançando malware destrutivo, como o DynoWiper. No caso da planta de cogeração, houve tentativas de roubo de dados desde março de 2025, mas os ataques não conseguiram interromper o fornecimento de calor. A vulnerabilidade de dispositivos Fortinet foi um vetor de entrada para os atacantes, que utilizaram credenciais comprometidas para acessar serviços em nuvem. O CERT Polska destacou que o uso de múltiplas contas sem autenticação de dois fatores facilitou a intrusão.

A Mandiant, empresa de cibersegurança pertencente ao Google, identificou um aumento nas atividades de grupos de hackers, como o ShinyHunters, que utilizam táticas de engenharia social para realizar ataques de extorsão. Esses ataques envolvem phishing por voz (vishing) e sites falsos de coleta de credenciais, visando obter acesso não autorizado a ambientes de empresas, especialmente em aplicações de software como serviço (SaaS). O objetivo final é roubar dados sensíveis e extorquir as vítimas. Os grupos estão sendo monitorados sob diferentes clusters, como UNC6661 e UNC6671, que têm se mostrado adaptáveis em suas táticas. A Mandiant recomenda que as empresas adotem medidas de segurança, como a implementação de autenticação multifatorial resistente a phishing e melhorias nos processos de suporte técnico. A situação destaca a eficácia da engenharia social e a necessidade de as organizações se protegerem contra essas ameaças emergentes.

Uma falha de segurança nos sistemas da Bondu, fabricante de brinquedos com inteligência artificial, resultou na exposição de mais de 50 mil registros de conversas privadas de crianças. A vulnerabilidade permitia que qualquer pessoa com uma conta do Gmail acessasse o portal da empresa, onde os pais poderiam monitorar as interações dos filhos com os brinquedos. Os pesquisadores de cibersegurança Joseph Thacker e Joel Margolis descobriram que, além das transcrições das conversas, informações sensíveis como nomes, datas de nascimento e dados familiares também estavam acessíveis. Após a notificação do problema, a Bondu desativou rapidamente o portal e implementou medidas de segurança mais robustas. O CEO da empresa, Fateen Anam Rafid, afirmou que a falha foi corrigida em poucas horas e que não houve evidências de acesso não autorizado além dos pesquisadores. Apesar de a Bondu afirmar que apenas transcrições escritas eram armazenadas, os brinquedos poderiam compartilhar dados com Google e OpenAI, levantando preocupações sobre a privacidade das crianças. Este incidente destaca a importância de uma segurança robusta em dispositivos conectados e a necessidade de vigilância constante sobre a proteção de dados sensíveis.